Red Hat Summit第1章 ポリシーを使用したサービスネットワークの保護
デフォルトでは、Application Interconnect には、サイト間のすべてのサービスネットワーク通信に相互 TLS を使用するなど、多くのセキュリティー機能が含まれています。デフォルトでは、ポリシーシステムをクラスターに適用すると、そのクラスターとの間のすべてのサービスネットワーク通信が防止されます。きめ細かいポリシーを指定して、必要なサービスネットワーク通信のみを許可します。
ポリシーシステムは Skupper CLI の使用 で説明されているように、Application Interconnect サービスへのアクセスを現在の名前空間に制限する network-policy オプションとは異なります。
サービスネットワーク内の各サイトには、Skupper ルーターを実行し、プライベートな専用認証局 (CA) があります。サイト間の通信は相互 TLS で保護されているため、サービスネットワークは外部アクセスから分離され、横方向の攻撃、マルウェアの侵入、データの漏えいなどのセキュリティーリスクを防ぎます。ポリシーシステムは、クラスター管理者がサービスネットワークへのアクセスを制御できるように、クラスターレベルで別のレイヤーを追加します。
このガイドは、次のアプリケーション相互接続の概念を理解していることを前提としています。
- site
- Application Interconnect がインストールされている namespace。
- token
- 2 つのサイト間のリンクを確立するには、トークンが必要です。
- サービスネットワーク
- Application Interconnect を使用してサービスを公開した後、サービスネットワークを作成しました。
1.1. ポリシーシステムについて
クラスター管理者がカスタムリソース定義 (CRD) を使用してポリシーシステムをインストールした後、クラスター管理者は、開発者がサービスネットワーク上でサービスを作成および使用できるように 1 つ以上のポリシーを設定する必要があります。
このガイドでは、開発者とは、namespace にアクセスできるが管理者権限を持たないクラスターのユーザーを指します。
クラスター管理者は、カスタムリソース (CR) を使用して、次の 1 つ以上の項目を設定して通信を有効にします。
- 入力リンクを許可する
-
allowIncomingLinksを使用して、開発者がトークンを作成し、入力リンクを設定できるようにします。 - 特定のホストへの出力リンクを許可する
-
allowedOutgoingLinksHostnamesを使用して、開発者がリンクを作成できるホストを指定します。 - サービスを許可する
-
allowedServicesを使用して、開発者がサービスネットワーク上で作成または使用できるサービスを指定します。 - リソースの公開を許可する
-
allowedExposedResourcesを使用して、開発者がサービスネットワーク上で公開できるリソースを指定します。
クラスター管理者は、各ポリシー CR 設定を 1 つ以上の namespace に適用できます。
たとえば、次のポリシー CR は、以下を除くすべての namespace ですべてのアプリケーション相互接続機能を完全に許可します。
-
.example.comで終わるドメインへの出力リンクのみを許可します。 - deployment/nginx リソースのみをサービスネットワークに公開できます。
多くのポリシー CR を適用でき、許可された項目に競合がある場合は、最も許容度の高いポリシーが適用されます。たとえば、allowedOutgoingLinksHostnames: [] という行を含む追加のポリシー CR を適用する場合は、ホスト名をリストしない場合でも、元の CR で許可されているため、*.example.com への出力リンクは許可されます。
namespace- このポリシーが適用される namespace を指定するための 1 つ以上のパターン。ラベルセレクター を使用して namespace を一致させることができることに注意してください。
allowIncomingLinks-
他のサイトが指定された namespace へのリンクを作成できるようにするには、
trueを指定します。 allowedOutgoingLinksHostnames- 1 つ以上のパターンを指定して、指定したネームスペースからリンクを作成できるホストを決定します。
allowedServices- 1 つ以上のパターンを指定して、指定された名前空間からサービスネットワークで許可されるサービスの許可される名前を決定します。
allowedExposedResources- 指定された namespace から、サービストワークで許可されているリソースの 1 つ以上の許可された名前を指定します。パターンはサポートされていないことに注意してください。
正規表現を使用して、パターンの一致を作成します。次に例を示します。
-
.*\\.com$は、.comで終わる任意の文字列に一致します。YAML の問題を回避するには、二重の円記号が必要です。 -
^abc$は文字列abcと一致します。
特定の namespace の出力リンクを許可する別の CR を作成する場合、ユーザーはその名前空間からリンクを作成してサービスネットワークに参加できます。つまり、複数のポリシー CR のロジックは OR です。単一のポリシー CR で操作が許可されている場合、操作は許可されます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}